В продолжение
заметки Алексея Лукацкого про правильность чтения требований Положения Банка России №382-П, хочу поделиться следующей статистикой, полученной в ходе как раз такой разбивки требований по субъектам НПС.
На рисунке ниже приведено распределение требований в количественном (сверху) и процентном соотношении от общего количества требований 382-П (снизу). Напомню, что в Приложении 2 к 382-П всего приведено 129 различных требований к обеспечению защиты информации при осуществлении переводов денежных средств, выполнение которых проверяется при проведении оценки соответствия.
На рисунке использованы следующие сокращения:
- ОПДС - оператор по переводу денежных средств;
- ОПС - оператор платежной системы;
- ОУПИ - оператор услуг платежной инфраструктуры (операционный центр, платежный клиринговый центр и расчетный центр);
- БПА (БПСА) ЮЛ - банковский платежный агент (субагент), являющийся юридическим лицом;
- БПА (БПСА) ИП - банковский платежный агент (субагент), являющийся индивидуальным предпринимателем.
Как видно из этого распределения, меньше всего требований распространяется на операторов платежных систем. Если проанализировать 382-П, то можно увидеть, что эти требования, исходя из сущности оператора платежной системы, связаны именно с организацией и контролем обеспечения защиты информации в рамках платежной системы (установление требований и определение порядка применения мер по защите информации, взаимодействие с участниками платежной системы в части сбора сведений о защите информации в платежной системе, организация реагирования на инциденты ИБ и др.).
Больше всего требований ложится соответственно (по убывающей) на операторов по переводу денежных средств, операторов услуг платежной инфраструктуры и банковских платежных агентов (субагентов).
При этом в отношении различных типов операторов услуг платежной инфраструктуры, а именно: операционных, платежных клиринговых и расчетных центров - различий в требованиях практически нет. Исключением являются требования п. 2.16.2 Положения 382-П в части доведения оператором услуг платежной инфраструктуры до оператора платежной системы информации об обеспечении в платежной системе защиты информации при осуществлении переводов денежных средств, которые не распространяются на операционные центры, находящихся за пределами РФ.
Если же смотреть применимость требований 382-П к различным категориям субъектов НПС в разрезе групп требований, то получается следующая картина:
На рисунке использованы следующие обозначения:
- " - " - в группе отсутствуют требования, применимые к категории субъектов НПС;
- " + " - все требования группы применимы к категории субъекта НПС;
- "+/-" - часть требований применима к категории субъекта НПС.
Из этой статистика, например, видно, что в отношении банковских платежных агентов (субагентов) в большей степени применимы требования, связанные с реализацией системы защиты информации, и в меньшей с вопросами менеджмента ИБ.